FileThingie 2.5.7 содержит уязвимость для загрузки произвольных файлов, которая позволяет злоумышленникам загружать вредоносные файлы, отправляя ZIP-архивы через конечную точку ft2.php. Злоумышленники могут загружать ZIP-файлы, содержащие оболочки PHP, использовать функцию распаковки для их распаковки в доступные каталоги и выполнять произвольные команды с помощью извлеченных файлов PHP.
Показать оригинальное описание (EN)
FileThingie 2.5.7 contains an arbitrary file upload vulnerability that allows attackers to upload malicious files by sending ZIP archives through the ft2.php endpoint. Attackers can upload ZIP files containing PHP shells, use the unzip functionality to extract them into accessible directories, and execute arbitrary commands through the extracted PHP files.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0